Jaký bude zákon o kybernetické bezpečnosti?
Národní bezpečnostní úřad připravil a zveřejnil věcný záměr zákona o kybernetické bezpečnosti. Své připomínky k němu může uplatnit i nejširší veřejnost, termín je do 29. února.
Problematika kybernetické bezpečnosti dlouhá léta „spadala“ pod resort vnitra. Ten sice dokázal připravit několik obecných strategií a akčních plánů kybernetické bezpečnosti, ale už se nezmohl na to asi nejpotřebnější: na vybudování infrastruktury pro boj proti kybernetickým hrozbám a řešení bezpečnostních incidentů. Konkrétně toho, co se obvykle označuje jako CERT (Computer Emergency Response Team) či CSIRT (Computer Security Incident Response Team), a co by fungovalo na úrovni celého státu a staralo se (zejména) o jeho systémy. V situaci, kdy pokračuje elektronizace veřejné správy a stále více důležitých agend se převádí do on-line podoby (viz datové schránky či na dveře klepající základní registry), to bylo přímo zahrávání si s ohněm.
Naštěstí v loňském roce vnitro seznalo, že na kybernetickou bezpečnost nestačí, a předalo jí do kompetence Národnímu bezpečnostnímu úřadu (NBÚ). Stalo se tak skrze vládní usnesení č. 781 z 19. října 2011, které současně uložilo NBÚ, aby do konce letošního března připravil návrh věcného záměru zákona o kybernetické bezpečnosti.
I stalo se, a tento návrh je na světě. V současné době prochází meziresortním připomínkovým řízením, ale visí i na webu NBÚ a je tudíž dostupný i pro nejširší veřejnost. Ta má možnost zasílat k němu své připomínky do konce února, podrobněji.
Z historie národních CERTů
Zdůrazněme si, že zveřejněný dokument není návrhem paragrafovaného znění zákona, ale pouze jeho věcným záměrem. Nenajdete zde tedy ještě žádné paragrafy, ale spíše slovní popis záměrů a cílů, kterých má být dosaženo, a také hlavních prostředků, které přitom mají být použity. Z nich si lze udělat určitý obrázek o tom, jak by asi měl výsledný zákon vypadat – ale zase ne ve všech detailech, z nichž mnohé mohou být i dosti důležité. Ale i proto se věcný záměr dělá, aby se nejprve řešily hlavní věci, a pak dopracovávaly detaily.
Ve věcném záměru, na rozdíl od výsledného zákona, najdete například i popis toho, jak je kybernetická bezpečnost řešena v jiných zemích. Dále zde najdete i určitou historii toho, jak byla problematika kybernetické bezpečnosti v ČR řešena v dřívější době.
K tomuto retrospektivnímu pohledu mám jednu zásadnější připomínku. Postrádám v něm jakoukoli zmínku o jedné konkrétní skutečnosti, která byla (alespoň podle mého názoru) příčinou dlouholeté nečinnosti resortu vnitra při budování národního CERTu či CSIRT-u. V únoru roku 2007, ještě před zánikem ministerstva informatiky, totiž jeho nové vedení v čele s Ivanem Langerem (rukou prvního náměstka Zdeňka Zajíčka) podepsalo memorandum o zřízení národního CERTu se společností Relsie.
Nezaznamenal jsem, že by tento národní CERT nějak reálně fungoval. Byť měl i své webové stránky, na adrese certcz.org (viz jejich archivní kopie). Ale už samotná existence zmiňovaného memoranda očividně bránila vnitru v tom, aby budovalo nějaké jiné národní pracoviště CERT či CSIRT. A to i přesto, že totéž vnitro si za své peníze nechávalo souběžně připravit modelové pracoviště národního CSIRTu (podrobněji v mém tehdejším článku).
Vše skončilo až v prosinci 2010, kdy vnitro podepsalo nové memorandum se sdružením CZ. NIC, na základě kterého CZ.NIC začal od 1.1.2011 provozovat národní CSIRT.
Vládní, národní, nebo ústřední?
Pojďme nyní už k samotnému návrhu věcného záměru. Ten se vymyká tradičnímu pojetí kybernetické bezpečnosti už terminologií, kterou se snaží zavádět. A to i u těch opravdu nejzákladnějších termínů, jako je „národní“ či „vládní“ CERT či CSIRT.
Ve světě kybernetické bezpečnosti existují určité konvence (viz třeba tento materiál ENISA), podle kterých se přívlastkem „národní“ označuje ten CERT či CSIRT, který stojí v celé hierarchii CERTů a CSIRTů v konkrétní zemi nejvýše a stará se obecně o všechny zdejší systémy. Stejně tak je hlavním kontaktním místem pro komunikaci se zahraničím, s CERTy a CSIRTy v jiných zemích, a je také hlavním zástupcem své země v mezinárodních organizacích, které se zabývají kybernetickou bezpečností.
Vedle „národního“ CERTu či CSIRTu mnohde existují ještě „vládní“ (governmental) CERTy/CSIRTy, které se starají o ty systémy, které spadají do oblasti veřejné správy (státní správy i samosprávy). Typicky přitom mají poněkud odlišné pravomoci a způsob fungování než národní CERT/CSIRT, protože stát si vůči „svým“ systémům obvykle může (a chce) dovolit jiný režim dohledu.
V praxi přitom nemusí být „národní“ a „vládní“ CERT/CSIRT různé subjekty. Jejich role může být kombinována v rámci jednoho subjektu. Nicméně zde popisovaný návrh věcného záměru jakoby obrací logiku obou přívlastků - když to, co je obvykle „vládní“, označuje naopak jako „národní“ (a to, co je obvykle „národní“, označuje jako „ústřední“). Viz též následující obrázek.
Není to přitom tak, že by autoři návrhu neznali obvyklou terminologii. Právě naopak, když své názvy definují, sami upozorňují na to, že se liší od obvyklé terminologie:
Organizační řešení potřeby centralizovaného vyhodnocování informací o kybernetické bezpečnostní situaci České republiky bude postaveno na existenci dvou dohledových pracovišť, tj. národního (standardně mezinárodně užívaný pojem „Vládní CERT“) a ústředního (standardně mezinárodně užívaný pojem „Národní CERT“).
No, možná je to jen stará dobrá taktika matení nepřítele, tentokráte toho kybernetického. Jenže: které z obou pracovišť bude tím, které bude navázáno na zahraničí a bude jednotným kontaktním místem pro celou ČR, na které se bude zahraničí obracet? To (podle mého názoru) není z návrhu vůbec jasné:
- ústřední (správně: národní) pracoviště má „zajišťovat a zprostředkovávat sdílení informací (hlášení bezpečnostních událostí, zranitelností a další) v národním i mezinárodním kontextu (i jako kontaktní místo poslední instance)“, zatímco
- národní (správně: vládní) pracoviště má být součástí Národního centra kybernetické bezpečnosti, a to má „zajišťovat mezinárodní spolupráci“.
Povšimněme si ještě jedné věci: že ono „národní“ dohledové pracoviště (správně „vládní“ CERT) bude vlastně „vnořeno“ do jiného pracoviště, konkrétně do Národního centra kybernetické bezpečnosti. A teprve to bude navázáno na zahraničí, se kterým má zajišťovat onu mezinárodní spolupráci. Navíc i toto Národní centrum bude samo „vnořeno“ do NBÚ, jako jeho organizační součást, a řada „vnitrostátních“ aktivit a vazeb v oblasti kybernetické bezpečnosti bude vycházet či směřovat nikoli k „národnímu“ dohledovému pracovišti (správně „vládnímu“ CERTu), ale přímo k NBÚ jako takovému.
Bude ale zahraničí rozumět takovéto netradiční struktuře, až o něco doopravdy půjde?
Kritická infrastruktura
Pojďme ale k tomu asi nejpodstatnějšímu, co věcný záměru budoucího zákona navrhuje – a to k povinnostem a odpovědnostem, i k tomu, koho se vlastně týkají. Pro přehlednost jsem se to pokusil vystihnout následujícím obrázkem:
Pro pochopení tohoto obrázku si řekněme, že zákon chce vymezovat prvky kritické infrastruktury, a to jak komunikační, tak i informační, a na ně bude klást nejpřísnější požadavky: jejich správci budou muset poskytovat své kontaktní údaje a reportovat všechny bezpečnostní události – a to přímo NBÚ, a nikoli národnímu (správně: vládnímu) CERTu, jako jeho součásti. Dále budou tyto subjekty muset:
- průběžně aplikovat bezpečnostní opatření, stanovená vyhláškou NBÚ. Mělo by se jednat o „technologicky zcela neutrální opatření, která nejsou takového charakteru, aby určovala konkrétní technologii, konkrétního výrobce nebo poskytovatele služeb, aby nemohlo dojít k determinaci bezpečnostních řešení užívaných subjekty regulace. Uvedená opatření budou vydávána NBÚ ve formě vyhlášky a budou v souladu s mezinárodními standardy a normami“.
- aplikovat protiopatření, stanovená (vyhlašovaná) NBÚ formou rozhodnutí či opatření obecné povahy. Mělo by se jednat o „úkony a činnosti, jichž je třeba k ochraně sítí elektronických komunikací nebo informačních systémů před negativním dopadem kybernetické bezpečnostní události (např. instalace nové verze antiviru, úprava bezpečnostních pravidel firewallu, instalace bezpečnostních záplat informačního systému)“.
Přesnější definici toho, co je kritická infrastruktura (komunikační a informační), přinese až výsledný zákon o kybernetické bezpečnosti. První vymezení, obsažené již v záměru zákona, říká, že půjde o věci „se zvláštním významem pro kybernetickou bezpečnost České republiky, jejichž dlouhodobá nefunkčnost bude mít za následek ohrožení nebo poškození zájmu České republiky“. Ovšem o tom, co konkrétně bude do jedné či druhé kritické infrastruktury zařazeno, rozhodne až vláda svým nařízením.
Počítat je ale nutné s tím, že část kritické infrastruktury (dokonce zřejmě i rozhodující část, hlavně u komunikační infrastruktury) je dnes již v rukou privátních, a nikoli veřejnoprávních subjektů. Takže NBÚ zde bude mluvit do toho, jaká bezpečnostní opatření mají aplikovat ty privátní subjekty, které provozují prvky kritické infrastruktury.
Jaká opatření a protiopatření to budou, lze jen odhadovat z jejich dosti vágní definice, obsažené ve věcném záměru a ocitované výše. I zmiňované příklady však vyvolávají zajímavé otázky. Například: má-li být typickým „protiopatřením“ úprava bezpečnostních pravidel firewallu, jak se NBÚ vůbec dostane ke znalosti toho, jaký firewall konkrétní správce používá a jak je nastaven doposud? Aby mohl někomu (představujme si třeba Telefóniku CR) nadiktovat úpravu nastavení jeho firewallů, musí mít sakramentsky hluboké odborné znalosti, stejně jako detailní znalosti konkrétní soustavy sítí, ve které firewall funguje. Jak je získá?
Informační systémy veřejné správy
Zajímavým způsobem se návrh staví k informačním systémům veřejné správy, které se mohou (a určitě budou) nějakým způsobem překrývat s kritickou informační infrastrukturou. Například u informačního systému datových schránek (ISDS) tipuji, že spadne do průniku obou kategorií. Od informačních systémů veřejné správy ale návrh nepožaduje sdělení kontaktních údajů – možná proto, že by měly být již známy.
Hlavně ale navrhovaný záměr rozděluje informační systémy veřejné správy na „významné“ a „nevýznamné“ - aniž by ale jen naznačil, co je pro něj kritériem významnosti. Přitom „významné“ informační systémy veřejné správy budou muset průběžně aplikovat bezpečnostní opatření, stanovená vyhláškami NBÚ, a také aplikovat protiopatření, vyhlašovaná ze strany NBÚ. Naproti tomu „nevýznamné“ informační systémy veřejné správy budou muset pouze aplikovat ona vyhlašovaná protiopatření, ale neměla by se jich týkat (zřejmě průběžná) bezpečnostní opatření.
Vhodné je zmínit také to, že výše popsané se týká jen těch informačních systémů veřejné správy, které spadají pod zákon č. 365/2000 Sb. (o informačních systémech veřejné správy). Což jsou (zjednodušeně řečeno) ty systémy, které slouží k přímému výkonu veřejné správy. Vedle nich se ve veřejné správě provozuje řada dalších systémů „pro interní potřebu“ (jako například: pro personalistiku, mzdy atd.), které pod zákon č. 365/2000 Sb. nespadají, a tím ani nebudou spadat do působnosti zákona o kybernetické bezpečnosti.
Zajímavé je to také s rozlišením mezi státní správu a samosprávu: věcný záměr sice obecně konstatuje, že „oblast samosprávy“ by měla spadat pod ústřední (správně: národní) CERT. Ale jakmile jde o informační systémy v působnosti zákona 365/2000 Sb. (o ISVS), spadají všechny tyto systémy pod NBÚ. A zbytek informačních systémů samosprávy, který nepatří do působnosti zákona 365/2000 Sb., by vůbec neměl spadat ani pod nový zákon o kybernetické bezpečnosti.
Elektronické komunikace ano, obsah nikoli
Asi nejširší skupinou, na kterou nový zákon o kybernetické bezpečnosti dopadne, budou všichni poskytovatelé služeb elektronických komunikací a subjekty zajišťující (provozující) sítě elektronických komunikací. Tedy nejrůznější operátoři, provideři atd. Některé jejich sítě a služby mohou být zařazeny (a určitě budou) i do kritické komunikační infrastruktury - a pak se i jich bude týkat vše, co bylo dosud popisováno, a to ve vztahu k NBÚ. Ten jim tedy bude ukládat svá bezpečnostní opatření a protiopatření.
Obecně ale bude celá tato skupina poskytovatelů služeb a provozovatelů sítí el. komunikací „spadat“ pod ústřední (správně: národní) CERT. Z toho pro ně ale bude vyplývat jen jedna povinnost: poskytovat mu své kontaktní údaje. Více povinností vůči ústřednímu (správně: národnímu CERTu) bude mít jen část této skupiny, definovaná jako „vybraní poskytovatelé služeb“ a „vybraní provozovatelé sítí“, která bude tomuto CERTu reportovat také své bezpečnostní události. Ten je pak bude asi nějak agregovat a předávat NBÚ.
Věcný záměr ale opět nijak nenaznačuje, jak budou definováni oni „vybraní“ poskytovatelé a provozovatelé. Stejně tak nehovoří o tom, kdo a jakým mechanismem (zda např. vyhláškou či jinak) je bude vybírat.
Povšimněme si ale jedné zajímavé věci: celá tato skupina „poskytovatelů služeb elektronických komunikací“ a „provozovatelů sítí elektronických komunikací“ (formálně: subjektů, zajišťujících sítě elektronických komunikací), v praxi skupina operátorů a providerů, spadá do působnosti zákona č. 127/2005 Sb. o elektronických komunikacích. Vedle toho ale existuje řada dalších subjektů, jejichž činnost spadá pod zákon č. 480/2004 Sb., o některých službách informační společnosti. Jsou to zejména všichni poskytovatelé obsahu (například: Seznam, Internet Info atd.), poskytovatelé hostingových služeb a dalších služeb. A ti do působnosti nového zákona o kybernetické bezpečnosti spadat nebudou.
Je ale otázkou, zda je to dobře nebo špatně. Na jedné straně určitě není žádoucí, aby NBÚ jakkoli „promlouval“ do obsahu. Na druhou stranu i obsahové a hostingové služby se mohou podílet na různých hrozbách, a případná technická pochybení jejich správců mohou napáchat pořádné škody. Alespoň poskytnutí kontaktních údajů na správce, a to ústřednímu (správně: národnímu) CERTu, by podle mého názoru bylo na místě.
Stav kybernetického nebezpečí
S množinou všech poskytovatelů služeb a provozovatelů sítí („subjektů, zajišťujících sítě elektronických komunikací“) je spojena ještě jedna důležitá povinnost, vázaná na vyhlášení stavu kybernetického nebezpečí. Ten by měl odpovídat situaci, kdy je
ve velkém rozsahu ohrožena bezpečnost služeb nebo sítí elektronických komunikací anebo informačních systémů, a tím dojde k porušení nebo ohrožení zájmu České republiky a ohrožení není možné odvrátit běžnou činností Národního centra kybernetické bezpečnosti.
Takovýto stav kybernetického nebezpečí by měl vyhlašovat předseda vlády na návrh ředitele NBÚ, a v rámci něj by NBÚ mohl ukládat svá protiopatření také všem poskytovatelům služeb i provozovatelům sítí elektronických komunikací. Což asi budou z větší části soukromoprávní subjekty. Připomeňme si, že ona protiopatření jsou „úkony a činnosti, jichž je třeba k ochraně sítí elektronických komunikací nebo informačních systémů před negativním dopadem kybernetické bezpečnostní události“, zatím specifikované jen takto velmi obecně.
Také si připomeňme, že stejná protiopatření může NBÚ ukládat kdykoli (i „v době míru“, tj. i mimo stav kybernetického nebezpečí) všem správcům systémů kritické (komunikační i informační) infrastruktury, a také všem správcům informačních systémů veřejné správy.
Celkové hodnocení
Když se znovu podívám na předchozí obrázek, který sumarizuje hlavní vazby a aktivity, vychází mi z toho, že ústřední (správně: národní) CERT, alias ústřední dohledové pracoviště, je pouze jakýmsi „předávacím“ pracovištěm, které je jen „do počtu“ a nic moc fakticky nedohleduje – zatímco prakticky vše na sebe strhává národní (správně: vládní) CERT. A vlastně ani on ne, protože všechny šipky na obrázku (samozřejmě podle věcného záměru) vedou rovnou k NBÚ jako takovému a ne k té jeho složce, která je prezentována jako národní (správně: vládní) CERT.
Ale hlavně: v této podobě je věcný záměr zákona jen jakýmsi hrubým náčrtem požadovaného „toku“ údajů a hlášení v jednom směru, a opatření a protiopatření ve druhém směru. S tím že nejsou zcela jasné hranice toho, koho se vše týká (viz nedefinované rozlišení na významné a nevýznamné informační systémy veřejné správy, a „vybrané“ poskytovatele služeb a provozovatele sítí). Především ale bez přesnějšího definování toho, co bude po příslušných subjektech požadováno, v rámci oněch bezpečnostních opatření a protiopatření. Což neumožňuje odhadnout, jaké konkrétní dopady výsledný zákon přinese, včetně ekonomických i dalších dopadů na privátní subjekty.
Stejně tak není v záměru definováno ani to, co vůbec je „kybernetickou bezpečnostní událostí“, která by měla být reportována, ať již směrem k NBÚ či směrem k ústřednímu (správně: národnímu) CERTu. Již teď je ale jasné, že nutnou podmínkou bude to, aby byla „zařazena v seznamu typů kybernetických bezpečnostních událostí vydávaném formou vyhlášky NBÚ“. Znamená to tedy, že NBÚ dopředu rozhodne o tom, jaké druhy incidentů nás mohou potkat? A jinými, na které NBÚ nemyslel dostatečně dopředu, při vydávání své poslední vyhlášky, se vůbec zabývat nebudeme?
V čem ale předkladatelé mají jasno už dnes, je to, že bez „kvalifikovaných doporučení z centrální úrovně“ se všichni dosud bránili kybernetickým hrozbám ryze amatérsky a nekoordinovaně:
V České republice se ochrana kybernetického prostoru řeší prostřednictvím privátních subjektů bez regulace, prostřednictvím partikulárních pracovišť. Tato pracoviště často řeší případné útoky na informační technologie nahodile ad hoc, bez kvalifikovaných doporučení z centrální úrovně; nemají tak ani poznatky o útocích, které již byly řešeny, a musí je řešit samostatně a zvyšují se tak zbytečně náklady na jejich řešení.
Realita je naštěstí přeci jen jiná. Fungujících CERTů a CSIRTů je v ČR již více, a to nejen akademických, ale i u privátních subjektů typu bank či operátorů. Za dobu svého působení již stačily nasbírat dostatek zkušeností, naučily se vzájemně spolupracovat, předávat si zkušenosti i hlášení o incidentech, a také vzájemně sdílet své zkušenosti a know-how. O jejich úspěšném fungování svědčí i to, že byly přijaty do příslušných nadnárodních struktur, bojujících proti kybernetickým hrozbám.
Jen si toho NBÚ zatím asi nestačil všimnout. Nebo si toho všimnout ani nechce – a raději buduje celý systém jakoby „na zelené louce“.
Pokud k tomu máte a chcete co říci, můžete tak učinit (připomínkovat věcný záměr návrhu zákona) až do 29. února.